Evasive Malware
A Field Guide to Detecting, Analyzing, and Defeating Advanced Threats
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Kyle Cucci
- Publié
- 2024
- Éditeur
- No Starch Press
- Pages
- 488
- Langue
- English
À lire si
Analystes malware qui ont fini Practical Malware Analysis et continuent de se faire battre par des échantillons qui détectent leur sandbox. La référence actuelle sur le tradecraft anti-analyse, par un praticien sandbox-et-détection respecté.
À éviter si
Débutants. Cucci suppose que vous savez déjà monter un sandbox, faire de l'analyse statique et dynamique et lire de l'assembleur ; le livre prend la suite là où PMA s'arrête.
Points clés
- Les checks anti-VM et anti-sandbox tournent maintenant en première instruction de la plupart des échantillons ; le livre catalogue les patterns dominants et comment les neutraliser.
- Les packers modernes sont conceptuellement simples mais opérationnellement exigeants ; le cadrage de Cucci de l'unpacking-comme-émulation-en-étapes est le plus net en imprimé.
- L'obfuscation de flux de contrôle (opaque predicates, protections basées virtualisation) est le problème actuel le plus dur de l'analyste ; les chapitres là-dessus justifient le livre à eux seuls.
Notes
À coupler avec Practical Malware Analysis (Sikorski/Honig) pour la fondation et Practical Reverse Engineering (Dang/Gazet/Bachaalany) pour la profondeur architecture. Le travail antérieur de Cucci sur Securosophy et les cours SANS FOR610 / FOR710 sont les compléments naturels. La date de publication 2024 maintient le livre actuel face aux écosystèmes de packers modernes.
Que lire avant
Que lire avant Evasive Malware →Intermédiaire · 2012
Practical Malware Analysis
Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.
Intermédiaire · 2005
Reversing
Le livre qui a appris à toute une génération à quoi ressemble vraiment le logiciel une fois le code source retiré. Toujours la meilleure porte d'entrée pour penser en assembleur, même avec des outils datés.
Intermédiaire · 2011
The IDA Pro Book
Le manuel de référence de Chris Eagle sur IDA Pro, le désassembleur qui a défini une génération de reverse engineering. Reste utile à l'ère Ghidra car la littérature d'analyse malware suppose encore largement IDA.
Que lire ensuite
Que lire après Evasive Malware →Avancé · 2009
Les virus informatiques
Le traitement académique français de référence sur la virologie informatique — théorie, algorithmes et pratique des virus et codes malveillants — par Éric Filiol, ancien cryptanalyste militaire et l'un des principaux virologues français.
Avancé · 2014
Practical Reverse Engineering
Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.
Avancé · 2019
Rootkits and Bootkits
Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.
Explorer des livres similaires
Alternatives à Evasive Malware →Intermédiaire · 2012
Practical Malware Analysis
Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.
Avancé · 2022
The Art of Mac Malware, Volume 1
La plongée profonde de Patrick Wardle sur l'analyse de malware macOS : patterns de persistance, techniques d'injection, astuces anti-analyse et le tooling macOS-spécifique nécessaire pour trier de vrais échantillons.
Avancé · 2019
Rootkits and Bootkits
Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.